TLS端点

SSL/TLS是标准的用来在WEB服务器和浏览器之间建立加密的连接的安全技术。此连接保证所有的在WEB服务器和浏览器之间传输的数据的私有性和完整性。

要为你的集群和所有在上面运行的应用激活SSL,你可以为你的负载均衡器上添加一个SSL的key。你必须提供一个用CA注册的SSL证书或者提供自己签署的SSL证书。

生成一个SSL证书

要生成一个你自己的自己签署的SSL证书以备测试,你需要执行如下命令:

  1. $ openssl genrsa -out server.key 2048
  2. $ openssl req -new -key server.key -out server.csr

这会生成一个私有的key和一个证书签名请求。此证书签名请求通常被发送到CA机构如Verisign,但是在这个例子里面,我们将会用它来签署我们自己的SSL证书。

尽管大多数的字段都恨简单易懂,需要特别注意如下的字段:

字段 描述
国家名称 两位字母代码,格式为ISO 3166-1,为你的机构所在的国家的代码。
通用名称 这是你希望进行安全加密的完全指定的域名。大多数情形下,这会是一个通配符形式的子域名。

要生成一个临时的可以使用365天的证书,执行以下命令:

  1. $ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

注:
有的SSL机构如RapidSSL会同时加密根域名和www子域名如果你把通用名称设置成为www.example.com。参考你所选机构的文档以获取更多的信息。

安装SSL证书

在所有基于云的负载均衡器上,你可以自己安装一个SSL证书到负载均衡器上。这是推荐的在你的集群上启用SSL的做法,因为所有进入集群里面的通讯都会被加密,而Deis内部的组件还是会通过HTTP来进行沟通。要启用SSL你需要打开位于负载均衡器上的443端口然后将其转发到路由器组件的80端口。对于EC2,你也需要在安全组设置里面为你的负载均衡器添加443端口。

请查看你所用机构的特定的关于如何安装SSL到你的负载均衡组件的说明。对于EC2,参考它们文档中的为负载均衡安装SSL证书的部分。对于Rackspace,参考它们的Product FAQ。